Database Security Seminar. Mittwoch, 08. Februar Düsseldorf

Transkript

1

2 Database Security Seminar Mittwoch, 08. Februar Düsseldorf

3 Agenda 9.15 Uhr Begrüßung und kurze Einleitung Gabriele Geist, Sales Consulting Director, Oracle Deutschland 9.20 Uhr Oracle Datenbank Security - wieviel darf es denn sein? Stefan Oehrli, Senior Consultant, Discipline Manager Secure Database, Infrastructure Management Services, Trivadis AG Uhr Database Security Assessment Test Light Carsten Mützlitz, Leitender Systemberater, Oracle Deutschland Uhr Kaffeepause

4 Agenda Uhr Database Härtung und Behebung der gefundenen Findings* Uhr Lösungsmöglichkeiten zur Abwehr von Gefährdungen* Uhr Gemeinsamer Networking Lunch Uhr Nachhaltigkeit im Security Umfeld* * Sprecher: Heinz-Wilhelm Fabry, Senior Leitender Systemberater und Norman Sibbing, Leitender Systemberater, beide Oracle Deutschland Uhr Zusammenfassung und Ende der Veranstaltung

5 Agenda Allgemein Netzwerksicherheit Benutzermanagement Rollen, Privilegien, Packages Verschlüsselung Privilegierte Benutzer Abwehr von SQL Injection Angriffen Auditing Nachhaltigkeit

6 Agenda Allgemein Netzwerksicherheit Benutzermanagement Rollen, Privilegien, Packages Verschlüsselung Privilegierte Benutzer Abwehr von SQL Injection Angriffen Auditing Nachhaltigkeit

7 Allgemein Es gibt keine 100%ige Sicherheit Betriebssystem härten Sowohl OS als auch DB Software Nur Komponenten installieren, die benötigt werden Unnötige Dienste gegebenenfalls deinstallieren Sicherheitspatches einspielen (CPU/PSU) Frühzeitig DB Upgrade planen Benutzer personalisieren Trennung zwischen DBA Gruppe und Softwarebesitzer Primäre Gruppe oinstall (siehe Install Doku) Datenbank-Auditing nutzen

8 Agenda Allgemein Netzwerksicherheit Benutzermanagement Rollen, Privilegien, Packages Verschlüsselung Privilegierte Benutzer Abwehr von SQL Injection Angriffen Auditing Nachhaltigkeit

9 Netzwerksicherheit SQL*Net und Firewall Sichere Listener Konfiguration Netzwerksicherheit durch Datenbank Parameter Verschlüsselungsmöglichkeiten Analyse der LOG Files

10 Netzwerksicherheit SQL*Net und Firewall Firewall mit SQL*Net Proxy Axent Raptor, Firewall-1 Checkpoint Shared Server dispatchers="(address=(protocol=tcp)(host=hostname)(port=24 50))(dispatchers=1)" Oracle Connection Manager (nur EE) Filterung auf Hostname, Quell Adressen und Ziel Adressen SQL*Net Proxy (Client Multiplexer)

11 Netzwerksicherheit Sichere Listener Konfiguration Berechtigungen einschränken ADMIN_RESTRICTIONS_<listener_name>=ON LOCAL_OS_AUTHENTICATION_<listener_name> = ON Kein Listener Kennwort setzen (Desupported) Unnötige Services entfernen ExtProc / PLSExtProc XDB Keine standard Ports verwenden Lokale Listener Registrierung alter system set local_listener=... Listener nicht Listener nennen

12 Netzwerksicherheit Sichere Listener Konfiguration Verbindungslimits setzen INBOUND_CONNECT_TIMEOUT_<listener_name> = (sec) CONNECTION_RATE_<listener_name> = <integer> Max zugelassene Verbindungen Pro Sekunde (ADDRESS=(PROTOCOL=tcps) (HOST=sales-server)(PORT=4711) (RATE_LIMIT=yes)) Auswirkungen => nächste Folie

13 Netzwerksicherheit Auswirkungen bei 150 gleichzeitigen Anmeldungen CONNECTION_RATE_<LSNR> = 0 CONNECTION_RATE_<LSNR> = 3

14 Netzwerksicherheit Sicherheit durch Datenbank INI Parameter OS_AUTHENT_PREFIX = (null) REMOTE_OS_AUTHENT = FALSE (deprecated) REMOTE_OS_ROLES = FALSE SEC_PROTOCOL_ERROR_FURTHER_ACTION Continue Delay,<sekunden> Drop,<anzahl der Bad Packets > SEC_PROTOCOL_ERROR_TRACE_ACTION None Trace Log Alert

15 Netzwerksicherheit Sicherheit durch SQLNET.ORA Parameter Wenn möglich IP Adressen einschränken ab 11.2 auch mit Wildcard und CIDR tcp.validnode_checking = YES tcp.excluded_nodes = {list of IP addresses} tcp.invited_nodes = {list of IP addresses} SQLNET.INBOUND_CONNECT_TIMEOUT = (sec)

16 Eine Idee Abwehr eines DoS DEMO Listener.ora INBOUND_CONNECT_TIMEOUT_<listener_name> = 6 Client address: (ADDRESS=(PROTOCOL=tcp)(HOST= )(PORT=36132)) WARNING: inbound connection timed out (ORA-3136) SQLNet.ora SQLNET.INBOUND_CONNECT_TIMEOUT = 7 ORA-03135: connection lost contact TCP.VALIDNODE_CHECKING = YES TCP.INVITED_NODES= ( *)

17 Netzwerksicherheit Verschlüsselungsmöglichkeiten DEMO IPSec VPN/SSL Advanced Security Option (ASO) Enterprise Edition Option OCI, ODBC und JDBC (Thin und OCI) SSL oder Nativ Einfache Aktivierung (NATIV) durch SQLNET.ORA Parameter SQLNET.ENCRYPTION_SERVER = accepted requested rejected required

18 Netzwerksicherheit Protokollierung Aktivierung des Listener-Loggings Listener Log ab 11g im ADR Verzeichnis, sonst LOG_DIRECTORY_<listener_name> = /ora/... LOG_FILE_<listener_name> = lsnr_hugo.log LOGGING_<listener_name> = on Auswerten des Listener-Logs Enterprise Manager, Skripte oder External Table Besondere Aufmerksamkeit auf (mögliche Angriffe) Auf verwendete Programme prüfen TNS-01189: The listener could not authenticate the user TNS-01190: The user is not authorized to execute the requested listener command TNS-12508: listener could not resolve the COMMAND given

19 Agenda Allgemein Netzwerksicherheit Benutzermanagement Rollen, Privilegien, Packages Verschlüsselung Privilegierte Benutzer Abwehr von SQL Injection Angriffen Auditing Nachhaltigkeit

20 Benutzermanagement Benutzer Authentifizierung DEMO Basis Authentifizierung identified by <password> identified externally Starke Authentifizierung PKI Kerberos RADIUS Enterprise User Security identified globally Kennwort, SSL und Kerberos Centralized User Administration CUA4DB

21 Benutzer Management: Best Practice ENTERPRISE USER SECURITY EUS CENTRALIZED USER ADMINISTRATION FOR DB CUA4DB Management Oracle Internet Directory LOGIN Umlenkung LOGIN Anwender Oracle Datenbanken Synchronisation CUA4DB Läuft auf Oracle Identity Manager Synchronisation Corporate Directory oder HR System Zentrale Administration Self-service Passwortänderung Audit Anwender LOGIN Oracle und andere Datenbanken

22 Benutzermanagement Passwörter allemein History-Dateien der UNIX-Shells Regelmäßig prüfen und / oder löschen Bei älteren Versionen der Datenbank *.log-dateien der Installation auf Passwörter im Klartext prüfen, editieren oder löschen Trace-Dateien im Auge behalten Default-Passwörter ändern Kontrollieren mit im Internet verfügbaren Passwort-Scannern, z.b. unter oder mit dem ORACLE DEFAULT PASSWORD SCANNER

23 Benutzermanagement Passwort-Regeln DEFAULT-Profil ändern oder neues Profil anlegen Über Enterprise Manager oder z.b. in SQL*Plus CREATE PROFILE pwsicherheit LIMIT FAILED_LOGIN_ATTEMPTS 4 -- Anzahl DoS?!? PASSWORD_LIFE_TIME Tage PASSWORD_REUSE_TIME 4 -- Tage, bevor das PW wieder verwendet werden kann PASSWORD_REUSE_MAX 5 -- Anzahl unterschiedlicher PWs, bevor das gleiche wieder nutzbar ist PASSWORD_LOCK_TIME Tage PASSWORD_GRACE_TIME 3 -- Tage PASSWORD_VERIFY_FUNCTION name_der_funktion ; -- UTLPWDMG.SQL, Risiko! ALTER USER mustermensch PROFILE pwsicherheit;

24 Benutzermanagement Passwort ändern In SQL*Plus nicht mit ALTER USER Passwort geht ohne den Einsatz von Netzwerkverschlüsselung im Klartext über das Netzwerk Advanced Security Option Befehl PASSWORD verwenden Änderung des eigenen Passworts password Änderung des Passworts eines anderen Benutzers Setzt entsprechende Privilegien natürlich voraus password scott Passwort Verwaltung über zentrales IDM Kommunikation mit Advanced Security Option absichern

25 Agenda Allgemein Netzwerksicherheit Benutzermanagement Rollen, Privilegien, Packages Verschlüsselung Privilegierte Benutzer Abwehr von SQL Injection Angriffen Auditing Nachhaltigkeit

26 Rollen, Privilegien, Packages Nur wirklich benötigte Privilegien vergeben 'Neu-Hochdeutsch': least privilege ANY-Privilegien, CREATE DATABASE LINK,... Notes / liefern Skripte zum Feststellen der Privilegien Initialisierungs-Parameter SQL92_SECURITY auf TRUE setzen Default-Wert ist FALSE Bewirkt, dass Manipulationen von Daten einer Tabelle nur möglich sind, wenn auch SELECT-Rechte vorliegen O7_DICTIONARY_ACCESSIBILITY auf FALSE setzen Default-Wert ab Oracle9i ist FALSE TRUE erlaubt z.b. das Löschen von SYS-Tabellen, falls das Privileg DROP ANY TABLE vorliegt

27 Rollen, Privilegien, Packages Komponenten - Packages Ausführungsberechtigung für bestimmte Packages dem Anwender PUBLIC entziehen UTL_HTTP, UTL_SMTP, UTL_TCP Informationen an externe Empfänger schicken UTL_FILE Zugriff auf und Manipulation von Betriebssystemdateien (z.b. History- Dateien, Konfigurations- und Trace-Dateien) DBMS_LOB Informationen aus Datenbankdateien auslesen... Vorher Verwendung in Anwendungen kontrollieren und ggf. GRANTs von PUBLIC auf persönliche GRANTs umstellen

28 Rollen, Privilegien, Packages Packages mit Zugriff auf andere Server Verbesserte Kontrollmöglichkeiten für UTL_TCP, UTL_HTTP, UTL_SMTP, UTL_MAIL, UTL_INADDR XML DB muß installiert sein Verwendet ACLs der XML DB EXECUTE DBMS_NETWORK_ACL_ADMIN.CREATE_ACL( ACL => 'acl_oracle.xml', DESCRIPTION => 'ACL für PRINCIPAL => 'Scott', IS_GRANT => true, PRIVILEGE => 'connect') EXECUTE DBMS_NETWORK_ACL_ADMIN.ADD_PRIVILEGE ('acl_oracle.xml', 'ADAMS', TRUE, 'connect') EXECUTE DBMS_NETWORK_ACL_ADMIN.ASSIGN_ACL ('acl_oracle.xml', ' 80) Informationen über Funktionen aus DBA_NETWORKS_ACLS

29 Agenda Allgemein Netzwerksicherheit Benutzermanagement Rollen, Privilegien, Packages Verschlüsselung Privilegierte Benutzer Abwehr von SQL Injection Angriffen Auditing Nachhaltigkeit

30 Verschlüsselung Wichtige Daten verschlüsselt speichern Implementieren über zusätzliche Komponenten, z.b. spezielle Hardware Implementieren über die Anwendung DBMS_CRYPTO 'Nachfolger' von DBMS_OBFUSCATION_TOOLKIT Eigenes Package Implementieren über die Datenbank Transparent Data Encryption (TDE) Setzt eine Lizenz für die Advanced Security Option voraus

31 Oracle Advanced Security Schutz der Daten vor unautorisierten Benutzern Transparente Verschlüsselung für alle gespeicherten Daten Keine Änderung der Anwendung notwendig Verschlüsselung der Daten für den Netzwerktransfer Hoch performant Einfache Bereitstellung Easy deployment

32 Oracle Advanced Security Transparent Data Encryption Performance Verschlüsselung von Daten ist kostspielig ist ein Mythos! (ggf. entstanden durch schlechte Third-Party Lösungen) Mehrlast der CPU ~5% / 10x Beschleunigung bei Nutzung des AES-NI Chip Mehrlast der CPU kann durch Nutzung der Oracle Advanced Compression oder Exadata Hybrid Columnar Compression (EHCC) weiter reduziert werden Bei einer Komprimierung von ca. 75%, müssen auch 75% weniger Daten verschlüsselt werden!

33 Verschlüsselung Vorteile der Oracle Verschlüsselung Kein Aufwand beim Einrichten der Netzwerkverschlüsselung Verschlüsselung ist Datentyp-Echt Transparent für Applikationen Verschlüsselung über alle physikalischen Medien Datenbankfiles, Transaktionsfiles, Archive, Exports, Backups und Netzwerk Implementiertes Key-Management Performantes Rekeying Hardwareunterstützung...

34 Verschlüsselung Alternative Lösungen

35 Agenda Allgemein Netzwerksicherheit Benutzermanagement Rollen, Privilegien, Packages Verschlüsselung Privilegierte Benutzer Abwehr von SQL Injection Angriffen Auditing Nachhaltigkeit

36 Oracle Database Vault DEMO Zugriffssteuerung für privilegierte Benutzer und Multifaktor Autorisierung Schränkt Befugnisse von privilegierten Benutzern ein Ermöglicht Aufgabenverteilung und Funktionstrennung Erzwingt Security Regeln Schützt und konsolidiert Anwendungsdaten und verhindert das Umgehen der Anwendung

37 Oracle Sicherheitsansatz Lösungsansätze im RZ einer Bundesbehörde - Beispiel - Oracle Advanced Security (ASO) Netzwerkverschlüsselung & Transparente Datenverschlüsselung Festplatte Sicherungen Exports Oracle Database Vault (DBVault) Zuständigkeiten & Kontrolle privilegierter Benutzer Externe Einrichtungen

38 Oracle Sicherheitsansatz Lösungsansätze im RZ einer Bundesbehörde - Beispiel - Erhöhter Schutz sensitiver Daten in Verfahren unter kombinierter Verwendung von Sicherheitsoptionen für Oracle Datenbanken Verschlüsselung zur Sicherung gehosteter Daten und DBVault zur Sicherstellung der Funktionstrennung DBA des RZ erhält kontrollierte, definierte Zugriffe aber ohne Einsicht in Verfahrensdaten Ermöglicht das Outsourcen und Konsolidieren sensibler Daten Hoster übernimmt die Verantwortung des Betriebs Kunde behält die Datenhoheit und Datenverantwortung

39 EPOS 2.0 SSC Sicherheit Multi-Mandant Umgebung Web&App DMZ Datenbank DMZ http/s Verschlüsselung AES 256bit SQL*Net Verschlüsselung AES 256bit Datenbank Verschlüsselung SYSTEM Fachabteilung EPOS Mandanten EPOS 2.0 Applikations- Server Autorisierungs- Faktoren EPOS Mandant EPOS Mandant EPOS 2.0 Oracle Datenbank Betreiber DBA Backup Verschlüsselung

40 Agenda Allgemein Netzwerksicherheit Benutzermanagement Rollen, Privilegien, Packages Verschlüsselung Privilegierte Benutzer Abwehr von SQL Injection Angriffen Auditing Nachhaltigkeit

41 Oracle Database Firewall im Überblick Anwendungen Erlauben Protokollieren Alarmieren Ersetzen Blocken Standardberichte Eigene Berichte Policies (Baselines) Effiziente Analyse des SQL in Echtzeit schützt vor SQL Injection, Eskalieren von Privilegien und Rollen Bietet damit sogar einen Schutz vor nicht geschlossenen Sicherheitslücken (zero day exploits) auf der SQL Ebene Flexible Reaktionsmöglichkeiten Genauigkeit ist von zentraler Bedeutung DB2

42 Beispiel - Vergleiche, Mustererkennung Wenn man unterstellt, dass eine Bedingung verdächtig ist, die immer den Wert WAHR liefert, dann müssen z.b. SQL Abfragen mit einer solchen Bedingung abgefangen werden. Folgende Bedingungen sind alle WAHR: 1 = = ( ) SIN(45) = COS(45) hund = hund 10 = 10 SQRT(49) = (8-1)/1 LEFT( catastrophe, 3) = cat katze <> maus

43 260 false positives per day 7,800 audit errors per month Der Preis fehlender Genauigkeit 3,000 transactions per second 300 3,000 Transaktionen transactions / Sekunde per second 260 million transactions per day 260 million ~ 2,6 transactions Millionen per / Tag day 0,0001 % falsch negative Auswertungen 26 erfolgreiche Angriffe / Tag 0,0001 % falsch positive Auswertungen 0.001% false positive rate: 26 Fehlalarme / Tag 260 false positives per day 7,800 audit errors per month 780 fehlerhafte Auditeinträge / Monat

44 Positivlisten Positivliste (White List) Erlauben Anwendungen Blocken Positivlisten können automatisch generiert werden Für jede Anwendung oder Applikation zu definieren Faktoren wie Tageszeit, Wochentag, Netzwerk, Anwendung,... können berücksichtigt werden Aktionen, die nicht auf der Positivliste stehen, werden nicht ausgeführt

45 Oracle Database Firewall im Netzwerk DEMO Proxy-Mode All Modes

46 Agenda Allgemein Netzwerksicherheit Benutzermanagement Rollen, Privilegien, Packages Verschlüsselung Privilegierte Benutzer Abwehr von SQL Injection Angriffen Auditing Nachhaltigkeit

47 Auditing Erfolgskontrolle Kontrolle und Dokumentation der Abwehrstrategien Gezielt einsetzen AUDIT CONNECT WHENEVER NOT SUCCESSFULL Im Rahmen der Enterprise Edition an die erweiterten Möglichkeiten von Fine Grained Auditing (FGA) denken Soll / muß der Audit-Trail auch vor dem DBA geschützt werden Audit-Daten nicht innerhalb der Datenbank speichern, sondern auf Betriebssystem-Ebene Verwendung von Oracle Database Vault oder Oracle Audit Vault in Erwägung ziehen

48 Auditing Alternativen Prozedural System Trigger (Startup, Shutdown, Logon, Logoff, DDL) UTL_FILE / DBMS_APPLICATION_INFO Package (Applikationslog) REDO (LogMiner, Streams Capture) Deklarativ Oracle Database Auditing (Standard) FGA (Fine Grained Auditing)* Total Recall (Flashback Data Archiver)** Audit Vault (zentraler Auditserver)*** * EE Feature ** EE Option *** Separates Produkt

49 Auditing Kategorien Default / Mandatory Auditing Instance Startup / Shutdown Connects als DBA SYS Auditing Statement Auditing Protokolliert bestimmte Statements Einschränkbar auf Benutzer Privilege Auditing Protokolliert Statements, die ein Systemprivileg erfordern Einschränkbar auf Benutzer Schema Object Auditing Protokolliert Statements auf bestimmte Objekte

50 Auditing Fine Grained Auditing 'Standard-'Auditing für viele Fälle zu wenig aussagekräftig Fine Grained Auditing* (FGA) erlaubt Auditing in Abhängigkeit von gelesenen oder veränderten Daten Auditing, das konkrete Befehle erfasst Verfügbar für INSERT, UPDATE, DELETE und SELECT Verfügbar nur in der Enterprise Edition Funktioniert nur mit dem CBO * EE Feature

51 Auditing Fine Grained Auditing: Beispiel DEMO DBMS_FGA.ADD_POLICY( object_schema => 'DEMOAPPS', object_name => 'DEMO_HR_EMPLOYEES', policy_name => 'FGA_HRADMIN_ACTIVITIES', audit_condition => 'upper(sys_context(''userenv''... audit_column => 'SALARY', handler_schema => 'SEC_PROVIDER', handler_module => 'informieren', enable => true, statement_types => 'SELECT, INSERT, UPDATE, DELETE', audit_column_opts => DBMS_FGA.ANY_COLUMNS, audit_trail => DBMS_FGA.DB + DBMS_FGA.EXTENDED);

52 Oracle Audit Vault Automatisches Aktivitätsmonitoring & Audit Reporting DEMO Automatisches Überwachen von Oracle und Nicht- Oracle Datenbanken Erkennt und signalisiert verdächtige Aktivitäten Out-of-the box Compliance Reports Forensische kundenspezifische Berichte

53 Auditing Best Practices Personalisierung der DBAs SYSDBA Auditing (audit_sys_operations) Für DDL (Standard Auditing) Strukturänderungen an relevanten Tabellen Benutzer und Rollenmanagement Für DML (Fine Grained Auditing) Lese und Schreibzugriffe auf relevante Tabellen Verwendung des XML, EXTENDED Audit Trails Verwendung des neuen DBMS_AUDIT_MGMT Packages Bei Neuinstallationen Auditeinstellungen beachten

54 Agenda Allgemein Netzwerksicherheit Benutzermanagement Rollen, Privilegien, Packages Verschlüsselung Privilegierte Benutzer Abwehr von SQL Injection Angriffen Auditing Nachhaltigkeit

55 Lifecycle Management Discovery und Einbindung Finde Assets und binde sie in Cloud Control ein Change Management End to End Management für Patches, Upgrades und Schema Änderungen Konfigurations- und Compliance Management Dokumentation von Konfigurationsänderungen und Compliance

56 Configuration Management Compliance Compliance Framework Mapping der Compliance Standards mit Business Standards (PCI, COBIT, HIPAA, CIS, etc) Compliance Standard Gruppierung von Regeln Compliance Rule Einzelne Checks/Tests die für einen Targettyp ausgeführt werden Compliance Manager, Security Auditors DBAs, Admins, IT Managers Compliance Frameworks Compliance Standards Rules Umfassendes Reporting Aktualisierung über Self-Update

57 Compliance Ebenen DEMO Framework Standard Rule

58 IT Sicherheit mit Oracle Mitteln Datenbank Sicherheit Verschlüsseln und Maskieren Kontrolle privilegierter Benutzer Multifaktor Autorisierung Datenbank Firewall Sichere Konfiguration Monitoring und Auditing Total Recall Identity Management Information Infrastruktur Datenbanken Benutzer (De-)Provisioning Rollen-Management Entitlement-Management Risikobasierte Zugriffskontrolle Virtual Directory Server und mehr Anwendungen Infrastruktursicherheit Microelectronics Betriebssysteme...

59 Q&A

60 Zusätzliche Informationen Handbuch "Oracle Database Security Guide" Virtual Private Database (VPD) Fine Grained Auditing Secure Application Roles External Password Store

61

62